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(54) Title: DEVICE FOR SECURE ACCESS TO A CHIP CARD APPLICATIONS 

(54) Titre: DISPOSITIF D'ACCES SECURISE A DES APPLICATIONS D'UNE CARTE A PUCE 

(57) Abstract 

The invention concerns a device 
for secure access to a chip card (100) 
applications comprising instructions con- 
stantly providing information on rights, 
substantially concerning access to the 
chip card storage unit, of a software com- 
ponent or a hardware intervention exe- 
cuted in the chip card, wherein a reg- 
ister (R) of the chip card microproces- 
sor (200) stores, for each new software 
component or hardware intervention oc- 
currence, a specific code enabling to con- 
trol the authorised nature of access to the 
chip card storage unit carried out by the 
new software component of hardware in- 
tervention. 
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L' invention concerne un dispositif 
d'acces se'eurise' a des applications d'une 
carte a puce (100) faisant intervenir des 
instructions informant a chaque instant 
sur les droits, essentiellement en terme 

d'acces a la memoire de la carte a puce, d'une composante logicielle ou d'une intervention mat6rielle execut6e dans la cane a puce dans 
SSX T °V U m r°^ OC f seur < 200 > de ,a carte * P uce ^rnorise, a chaque nouvelle composante logicielle ou interv^nS 
rnatenelle in ervenant, un code spdcifique permettant de contrdler le caractere autoris6 des acces a la memoire de la carte a puce eS c 
par la nouvelle composante logicielle ou intervention mat6rielle. H cueciuees 
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DISPOSITIF D'ACCES SECURISE A DES APPLICATIONS D 9 UNE 

CARTE A PUCE 

La presente invention se rapporte a un dispositif 
faeces securise a des applications d 'une carte a puce. 

Plus particulierement , 1 • invention concerne un 
dispositif d'acces securise a des applications d 1 une 
carte a puce faisant intervenir notamment des 
instructions, informant a chaque instant sur les 
droits, essentiellement en terme d'acces a la memoire 
de la carte a puce, de la composante logicielle ou de 
1 1 intervention materielle qui est executee dans la 
carte a puce. 

Les cartes a puce les plus courantes comprerinent un 

15 microprocesseur qui gere une memoire programme. La 
memoire programme est le plus souvent dediee a une 
unique application ou a un ensemble d ■ applications 
chargees en meme temps dans la carte a puce. Lorsque 
plusieurs applications sont chargees dans une carte a 

20 puce, elles presentent une relation etroite entre elles 
et sont toutes destinees a un meme type de service. 
Ainsi, par exemple, une carte a puce ne peut pas 
simultanement jouer le role de carte bancaire et le 
role de carte de fidelite pour un quelconque commerce. 

25 Afin de ne plus etre limite a un unique type 

d' application par carte a puce, de nouvelles 
architectures logicielles sont envisagees. Ces 
nouvelles architectures logicielles exploitent le 
developpement de langages de programmation standardises 

30 (par exemple, le langage "JAVA") qui resolvent les 
problemes de portability. 

La figure 1 est une representation simplifiee d'une 
architecture logicielle des pro jets de cartes a puce 
qui se developpent actuellement . L 1 architecture 

35 representee a la figure l comprend notamment une 
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premiere partie 110 qui correspond a la partie dite 
systeme de 1 * architecture logicielle d'une carte a puce 
100, et une deuxieme partie 120 qui correspond a la 
partie dite applicative de 1 • architecture logicielle de 
la carte a puce 100. La partie systeme 110 de la carte 
a puce est essentiellement composee d'une librairie de 
programmes 112 du systeme d ' exploitation de la carte a 
puce, d'une interface 114 pour gerer les interactions 
avec, par exemple, le microprocesseur de la carte a 
puce ou bien avec les differentes memoires de la carte 
a puce, et d ' un espace de gestion d • interruptions 
materielles 116. 

La partie applicative 120 de 1 ' architecture 
logicielle est composee de differentes applications : 
15 _ une premiere, une deuxieme, et une troisieme 

applications principales, respectivement 122, 12 4 et 
12 6; 

- une premiere, une seconde et une troisieme 
applications supplementaires, respectivement 121, 123 
20 et 125. 

Les applications principales 122, 124 et 12 6 sont 
ecrites dans un langage de programmation directement 
comprehensible par le processeur de la carte a puce. 

Les applications supplementaires 121, 123 et 125 

25 sont typiquement des applications codees dans un 
langage standardise. Ces applications peuvent etre 
ajoutees a n ' importe quel instant, a la partie systeme 
110, dans la partie applicative 120 de 1 ' architecture 
logicielle decrite. A la figure 1, les applications 

30 supplementaires 121, 12 3 et 12 5 dependent directement 
de la premiere application principale 122. La premiere 
application principale 122 sert ici d ' interpreteur 
entre les applications supplementaires et le systeme 
d« exploitation en transformant les codes des 

35 applications supplementaires en un langage machine 



BNSDOCID: <WO _0051087A1_I_> 



VVO 00/51087 



PCT/FROO/00465 



3 

comprehensible par les programmes du systeme 
d 'exploitation 112. 

LS dis P° si ^if d'acces securise a des applications 
d'une carte a puce selon 1' invention intervient dans 
5 une architecture de ce type. 

L ' architecture logicielle qui vient d'etre decrite 
est plus complexe que celle qui existe actuellement 
dans les cartes a puce en circulation. En effet 
1' architecture decrite suppose que 1-on peut ajouter 
10 des applications dans un langage de programmation 
standardise, eventuellement apres la mis e en 
circulation^ la carte a puce. Un niveau satisfaisant 
de securite est par consequent plus complexe a 
attemdre que lorsqu'une unique application, ou un 
15 groupe d ' applications dediees a une unique fonction de 
la carte a puce, etait chargee une fois pour toutes 
dans la carte a puce def initivement limitee en terme 
d- applications disponibles. Le risque qu'une nouvelle 
application vienne perturber le f onctionnement des 
20 precedentes applications est en consequence moins 
eleve. 

La coexistence d • applications de natures diverses 
dans une meme carte a puce peut poser un certain nombre 
de problen.es : par exemple, une architecture logicielle 
25 comprenant simultanement une application dediee a 
devaluation de la fidelite d'un client a une compagnie 
petroliere et une application bancaire classique doit 
garantir qu'une clef secrete servant dans 1 • application 
bancaire ne peut etre lue lors de 1 ■ utilisation de 
1' application associee a la compagnie petroliere. 

La presente invention a pour objet de pallier les 
problemes qui viennent d'etre deer its. 

A cet effet, 1 • invention propose un' dispositif 
permettant de gerer differentes applications 
logicielles mises en place eventuellement a differents 
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instants, ou differents evenements materiels, d'une 
carte a puce, tout en assurant une grande securite. 
Ainsi le dispositif selon 1 • invention off re la 
possibility de detecter lorsque 1 • utilisateur d'une 
5 application tente d ' outre-passer ses droits, par 
exemple en tentant d'acceder a des donnees qui ne sont 
pas destinees a 1 • application en question. 

Pour atteindre ces objectifs, 1 • invention propose 
la mise en place d • instructions specif iques internes au 

10 microprocesseur de la carte a puce. Ces instructions 
specif iques sont des instructions d'appel (DCALL) et de 
retour (DRETURN) . Ces instructions d'appel et de retour 
sont associees selon 1 • invention a des registres 
particuliers qui permettent de s' assurer du caractere 

15 autorise ou non des operations effectuees par 
1 'application en cours d • execution dans la carte a 
puce. 

L' invention concerne done un dispositif d'acces a 
des applications d'une carte a puce comprenant un 
2 0 microprocesseur associe a un systeme d ' exploitation 
fonctionnant avec un jeu d • instructions, une memoire de 
programmes et une batterie d • applications dans une 
memoire de la carte a puce, caracterise en ce qu'il 
comprend 

- un registre du microprocesseur pour memoriser un 
code, sur plusieurs bits de controle, propre a une 
entite mise en jeu, 

- une instruction d'appel et une instruction de 
retour du jeu d • instructions pour mettre "a jour 
instantanement et automat iquement le registre lors de 
1 ' intervention d'une nouvelle entite, 

- un dispositif de controle pour controler en 
fonction des bits de controle le caractere autorise de 
l'acces a des zones de la memoire de la carte a puce 
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par la nouvelle entite appelee ou intervenant dans la 
carte a puce, 

- une premiere liaison pour transmettre les bits de 
controle du microprocesseur vers l e dispositif de 
5 controle. 

Selon une realisation particuliere du dispositif de 
1- invention, chaque nouvelle entite intervenant est 
activee a une adresse predefine d'une memoire de type 
memoire ROM (Read Only Memory dans la litterature 
10 anglaise) de la carte a puce. 

Selon differents modes de realisation de 
1' invention, 1 ■ entite fonctionnant dans la carte a puce 
peut etre une application de la batterie d ' applications 
ou un evenement materiel, ou encore le systeme 
d' exploitation associe au microprocesseur de la carte a 
puce . 

Les differents aspects et avantages de 1 • invention 
apparaitront plus clairement dans la suite de la 
description en reference aux figures qui ne sont 
donnees gu'a titre indicatif et nullement limitatif de 
1' invention et qui sont a present introduites : 

- la figure 1, deja decrite, est une representation 
simplifiee d'une architecture logicielle des projets de 
cartes a puce qui se developpent actuellement, 

- la figure 2 est une representation du principe de 
fonctionnement selon 1 ■ invention lors de 1 ' execution 
d'une application au sein de la carte a puce. 

A la figure 2, un microprocesseur 200 d'une carte a 
puce 100 gere l'ensemble des operations d'une batterie 
d' applications 210 de la carte a puce 100. 

Un bus bi-directionnel 250 assure 1 • echange 
d' informations entre le microprocesseur 20O et une 
guelconque application de la batterie d • applications 
210. Les informations echangees peuvent etre des 
donnees, des adresses ou des instructions de commande. 
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Un controleur d'acces a la memoire 220 echange des 
informations avec le microprocesseur 2 00, notamment au 
moyen d'une liaison 230 qui vehicule un signal, dit 
signal de controle entre le microprocesseur 200 et le 
controleur d'acces a la memoire 220. 

Par exemple, quand une entite telle que 
1 'application 211 requiert, au moyen du bus bi- 
directionnel 250, 1 • intervention d'une autre entite 
telle qu'une application 212, elle execute une 
instruction d'appel DCALL suivie d'une designation de 
1' entite appelee. 

Selon 1' invention, un registre R est mis a jour 
lors de tels appels. Un certain nombre de bits du 
registre R prennent alors une valeur associee a 
1' entite appelee par 1 » instruction d'appel DCALL. Cette 
valeur s'apparente a une etiquette ou a un code 
specif igue au precede (process) associe a 1 • application 
et sera designee ci-apres « etiquette ». Le registre R 
est done un moyen materiel du microprocesseur 200 qui 
20 sert a memoriser un code propre a 1 'entite de 
1» architecture logicielle qui est en train de 
s'executer, et a controler son domaine d' execution. 

Ainsi, 1 • instruction DCALL permet d • entrer dans le 
futur procede a executer et d • af f ecter une etiquette 
25 qui sera inscrite dans le registre R. A titre 
d' exemple, le futur procede en cours peut etre 1 • acces 
a une memoire f igee (ROM) ou a une memoire vive (RAM) , 
ainsi que le traitement de codes ou de donnees .qui sont 
reportes dans differentes memoires. 
30 De P lus ' le dispositif selon 1' invention peut 

egalement prendre en compte des instructions dites 
materielles, par exemple du type re-initialisation. Les 
instructions dites materielles sont des evenements qui 
peuvent survenir en temps reel sur une carte a puce et 
35 qui generent des interruptions dans les 
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microprocesseurs de ces cartes a puce. Ce type 
d'evenement est gere par le dispositif selon 
1- invention de la meme facon que les instructions 
logicielles : i es bits du registre R prennent une 
valeur bien precise, appropriee a chaque evenement en 
temps reel intervenant sur les cartes a puce, limitant 
et controlant ainsi les droits de ces eveneroents. 

L' information fournie par le registre R est ainsi 
susceptible de controler une information, par exemple 
au microprocesseur ou a toute autre entite exterieure a 
1- architecture logicielle, relative a 1- identification 
de la zone de 1 • architecture logicielle concernee par 
1 'application en cours d' execution. 

L' information fournie par le registre R permet de 
15 controler la zone de la memoire de la carte a puce dans 
laquelle 1 • application a le droit d • intervenir , c'est- 
a-dire 1 • espace memoire auguel elle peut acceder. A 
cette fin, une deuxieme etiquette est associee a chaque 
groupe de donnees en memoire ou a des emplacements de 
memoire. Ces deuxiemes etiquettes sont preetablies lors 
de la programmation de la memoire. Lorsqu'une 
instruction commande 1 • utilisation de donnees en 
memoire, celles-ci sont lues avec la deuxieme etiquette 
associee. Ces donnees seront accessibles que s • il y a 
25 autorisation donnee par le module de controle, 

Ainsi, un eventuel utilisateur qui tente 
d'utiliser de fa 9 on frauduleuse le systeme 
d- exploitation afin de recuperer des donnees d'une 
application particuliere , se voit refuser l'acces a ces 
3 0 donnees. En effet, les bits du registre d'etat sont, 
dans ce cas, differents des bits qui correspondraient a 
un appel DCALL de 1 • application particuliere en 
question. Une confrontation entre les deuxiemes 
etiquettes correspondant aux donnees auxquelles on 
35 tente d- acceder et les bits du registre R (premiere 
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etiquette) , communiques par le microprocesseur au moyen 
de la liaison 23 0, est realisee dans le controleur 
d'acces a la memoire 220. Dans le cas ou les adresses 
de la memoire auxquelles on tente d'acceder ne sont pas 
5 des adresses appartenant au domaine autorise de la 
derniere application ayant effectue un appel de type 
DCALL - cette condition etant alors determinee a partir 
de la confrontation entre les etiquettes - une 
information d'acces illegal interdit l'acces a ces 
10 memoires. 

Le dispositif selon 1» invention off re ainsi une 
grande securite dans le sens ou des donnees qui sont 
destinees a une application ne peuvent pas etre 
exploitees par une autre application. 
15 Un second registre cs permet de garder en memoire 

un code propre aux applications qui etaient actives au 
moment de la derniere instruction d f appel DCALL emise 
par 1 'application courante, c'est-a-dire celles qui 
sont a executer a la suite de 1 ■ application courante. 
20 Le registre CS est destine a garder en memoire un 

code propre figurant dans le registre R de 
1 'application qui etait active lors de la derniere 
execution de 1 1 instruction d 1 appel DCALL. Ce registre 
CS sert done de tampon (« buffer ») pour garder en 
25 memoire la premiere etiquette qui etait contenue dans 
le registre R du procede qui etait actif juste avant 
cette instruction DCALL. 

Lorsque 1 ■ application courante a fj_ni de 
s' executer, une instruction de retour DRET est executee 
par le microprocesseur, et les donnees contenues dans 
le second registre CS permettent de retourner a 
1 'application qui s'executait precedemment et qui avait 
ete activee par un appel DCALL. Le registre R est 
egalement mis a jour. 
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Ainsi, lorsque l'on execute 1 ' instruction DRET, on 
recharge dans le registre R la valeur qui est dans le 
registre CS . 

Comme le montre la figure 2, le registre CS est 
contenu dans le microprocesseur 2 00 et est relie 
directement au registre R de maniere a permettre 
1' evolution des donnees stockees telle que decrite. 

On notera que par souci de securite, 1 • information 
roemorisee dans le registre CS ne peut etre accedee que 
par le processeur lui-meme, et ce qu'au cours de 
1' execution des instructions DCALL et DRET. 

Cependant, il est possible, selon un mode de 
realisation optionnel de 1' invention, de permettre de 
modifier le contenu du registre R par au moins un 
15 evenement dit « materiel » ou en temps reel, qui peut 
agir directement et en temps reel sur le 
microprocesseur 2 00 pour appeler 1' execution d'un code. 
Ainsi un evenement commandant une action ou la mise en 
eveil, ou 1 • acquittement de donnees, etc., peut mettre 
20 a jour directement le registre R. 

Dans ce cas, 1 • evenement materiel va utiliser les 
registres R et/ou CS pour mettre en place un numero de 
procede. Cependant, le procede en question ne sera pas 
un procede appele par une instruction DCALL, mais un 
25 procede « materiel ». Autrement dit, les instructions 
DCALL et DRET ne sont pas utilisees lors d'un tel 
evenement materiel, et on utilise uniquement les 
registres R et CS avec une action qui est deja pre- 
programing dans le circuit et designee par son procede 
30 (par exemple par affectation d'un numero). 

On note que de telles instructions materielles 
sont en principe realisees par des logiques cablees ou 
autres moyens materiels. 

Le second registre CS ne peut etre directement 
35 accede par les applications de la carte a puce afin de 
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garantir 1 ' integrite du dispositif lors de sa mise en 
oeuvre lors de 1 ■ execution d'une instruction de retour 
DRET. 

Lorsque 1 ' application courante a fini de 
s'executer, les bits du registre R prennent une valeur 
specif igue a 1 ' application qui s'executait 

precedemment, lui restituant ainsi ses droits et ses 
limitations en terme d'acces memoire. 

Le dispositif d'acces a des zones memoire, selon 
1 'invention, permet d ' assurer une grande securite en 
terme d'acces aux differentes zones de la memoire, pour 
une architecture logicielle telle que celle presentee a 
la figure 1. 
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REVENDI CATIONS 



10 



1. Dispositif .d'acces a des applications d'une 
carte a puce (loo) comprenant un microprocesseur (200) 
associe a un systeme d • exploitation fonctionnant avec 
un jeu d' instructions, une memoire de programmes et une 
batterie d • applications (210) dans une memoire de la 
carte a puce, caracterise en ce qu'il comprend 

- un registre (R) du microprocesseur pour memoriser 
un code, sur plusieurs bits de controle, propre a une 
entite raise en jeu, 

- une instruction d'appel (DCALL) et une 
instruction de retour (DRET) du jeu d • instructions pour 

15 mettre a jour, instantanement et automatiquement le 
registre (R) lors de 1 ■ intervention d'une nouvelle 
entite , 

- un dispositif de controle (220) pour controler en 
fonction des bits de contrdle le caractere autorise de 

20 l'acces a des zones de la memoire de la carte a puce 
par la nouvelle entite appelee ou intervenant dans la 
carte a puce , 

- une premiere liaison (230) pour transmettre les 
bits de controle du microprocesseur (2 00) vers le 

25 dispositif de controle (220) . 

2. Dispositif d'acces a des applications d'une 
carte a puce selon la revendication 1, caracterise en 
ce gu'il comprend un second registre (C S) pour 
memoriser un code propre aux applications actives au 

30 moment de la derniere instruction d'appel (DCALL) 
emise. 

3. Dispositif d'acces a des applications d'une 
carte a puce selon 1 • une des revendications l ou 2, 
caracterise en ce que 1' entite appelee ou intervenant 
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dans la carte a puce est une application (211) de la 
batterie d ' applications . 

4. Dispositif selon l'une des revendications 1 ou 
2, caracterise en ce que I'entite est un evenement 
materiel, de maniere que le registre (R) est mis a jour 
par cet evenement materiel. 

5. Dispositif selon la revendication 4, 
caracterise en ce que 1« evenement materiel est realise 
par une logique cablee ou autre moyen materiel de 
maniere a pouvoir inscrire dans le registre (R) 
I'entite propre a cet evenement sans 1 •utilisation de 
1 1 instruction d'appel (DCALL) . 

6. Carte a puce a applications multiples (100) 
caracterisee en ce qu'elle comporte un dispositif 
d'acces a des applications selon l'une quelconque des 
revendications l a 5. 

7. Carte a puce selon la revendication 6, 
caracterisee en ce qu'elle comprend au moins une 
application principale (122, 12 4, 12 6) ecrite dans un 
langage de programmation directement comprehensible par 
le processeur de la carte a puce et au moins une 
application supplementaire (121, 123, 125) codee en 
langage standardise comprehensible par le processeur de 
la carte au moyen d'un interpreteur . 
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